近日，亚信安全截获了一款伪装成屏幕保护程序的Agent Tesla间谍木马。该木马通过检测进程名称的方式达到反调试目的，经过解密后采用进程镂空的方式最终执行恶意攻击载荷。其会窃取多个浏览器登录凭证和COOKIE信息，截取屏幕信息，记录键盘按键，最后将收集到的数据通过SMTP发送到黑客的邮箱。亚信安全将其命名为TrojanSpy.MSIL.NEGASTEAL.DYSGVZ。

攻击流程

病毒详细分析

该病毒伪装成屏幕保护程序，诱骗用户点击：

其使用C# 编写，反编译后代码被混淆：

去除混淆后，我们继续进行分析发现，该病毒具有反调试功能，其会检测父进程的名字是否为“dnSpy.exe”：

我们更改了调试器名字后继续进行分析，其看起来像是一款游戏：

但是却在初始化的时候开始执行恶意代码，将资源加载到内存中并执行：

其加载的资源为PE可执行文件：

PE可执行文件运行起来后开始加载主模块图像资源并解码执行：

加载后的程序如图所示：

其采用进程镂空的方式将恶意代码（Byte_1中所存储的）写入到新的子进程中运行：

我们将Byte_1中的数据dump出来继续分析，其Dump出来的是个PE文件：

其窃取如下浏览器所保存的登陆信息：

将搜集到的信息通过SMTP发送给黑客：

黑客收信邮箱账号与密码：

其他参数：

收集浏览器cookie打包后发送到黑客邮箱：

功能如下：

黑客邮箱界面：

解决方案

不要点击来源不明的邮件以及附件；

不要点击来源不明的邮件中包含的链接；

请到正规网站下载程序；

采用高强度的密码，避免使用弱口令密码，并定期更换密码；

打开系统自动更新，并检测更新进行安装；

IOC

*本文作者：亚信安全，转载请注明来自FreeBuf.COM